Как известно, снятие пароля с контроллера S7-200 - задача решаемая паяльником. Также вполне успешно решена задача взлома пароля, установленного на файл проекта для Step-7/MicroWIN. Но вслед за успешной выгрузкой программы после взлома ПЛК или радости от просто случайно попавшей в руки программы, может настичь разочарование: функциональные блоки могут быть защищены паролем. Задача взлома пароля решается довольно-таки просто. Спасибо разработчикам отладчика OllyDBG.
На этом ролике демонстрируется считывание пароля для старой версии Step-7 MicroWin. На самом деле этот пароль нафиг не нужен, достаточно подправить файл библиотеки datamanagers200.dll, чтобы программа любой пароль воспринимала как верный. Я поправил библиотеку для Step7 Microwin последних версий:
CRACK datamanagers200.dll for Microwin 4.0 SP8 (XP) and SP9 (Win7):
На запороленные data-блоки crack тоже распространяется.
Microwin SMART 2.2:
На этом ролике демонстрируется считывание пароля для старой версии Step-7 MicroWin. На самом деле этот пароль нафиг не нужен, достаточно подправить файл библиотеки datamanagers200.dll, чтобы программа любой пароль воспринимала как верный. Я поправил библиотеку для Step7 Microwin последних версий:
CRACK datamanagers200.dll for Step-7 Microwin (S7-200)
CRACK datamanagers200.dll for Microwin 4.0 SP8 (XP) and SP9 (Win7):
LINK
Замените этим файлом оригинальный в папке с программой в каталоге /bin.
На запороленные data-блоки crack тоже распространяется.
CRACK datamanagers.dll for Step-7 Microwin SMART (S7-200 SMART)
Microwin SMART 2.0:
LINK
Версия 2.0 имеет существенное положительное отличие от версии 2.2 - в версии 2.0 вы можете распороливать не только чьи-то закрытые функции, но и функции, написанные программистами Siemens (например, функции обмена данными по RS485). В версии 2.2 убрана сама возможность ввода пароля для таких функций, т.е. они закрыты всегда без возможности их распаролить.
Microwin SMART 2.2:
How to upload a program for S7-200 SMART using your techniques, I try your datamanager.dll for upload from PLC is not working. Please help me
ОтветитьУдалитьНа данный это невозможно осуществить известными мне способами. Данный пример рассматривает взлом отдельных запороленных блоков данных и программных блоков. Запоролевание блоков производится отдельно от запоролевания контроллера. Что касается взлома контроллера, то, вероятно, способ похож на тот, которым взламывался S7-200. Т.е. подключался программатор к EEPROM (используется 24x или 25x серия), считывался дамп и специальной программой из этого дампа извлекался пароль. Насколько это актуально для S7-200 Smart я не знаю. Одну могу сказать - в плате 25x серии, которая присутствует в S7-200 Smart, пароля не хранится. Мы подключали её к программатору и считывали несколько раз для одинаковых программ с разными паролями - содержимое дампа не изменялось.
ОтветитьУдалить---------------------------------------------
It is impossible to carry out in the ways known to me now. This example is reviewed by breaking separate password-protected blocks of data and program blocks. Protection of blocks is made separately from a PLC-protection. As for breaking of the PLC, probably the way is similar on with what S7-200 was hacked. I.e. the programmator was connected to EEPROM (a series is used 24x or 25x), read out dump and the special program took the password from this dump. As far as it is actual for S7-200 Smart I don't know. I can tell one - in a board 25x a series which is present at S7-200 Smart of the password it isn't stored. We connected it to a programmator and read out several times for same programs with different passwords - dump contents didn't change.
I'm trying using Ollydbg, but i dont know the address to read the dump value, can you inform me the dump address to read the value. And where I must take the breakpoint.
ОтветитьУдалитьOllydbg для этого не используется. Для считывания дампа необходимо разобрать контроллер, выпаять микросхему EEPROM, подключить EEPROM к программатору.
Удалить---------------------------------------------
Ollydbg isn't used for brake PLC protection. For reading the dump it is necessary to disassemble the PLC, to solder EEPROM chip, to connect EEPROM to a programmator.
The 24x 25x EEPROM programmator:
http://www.aliexpress.com/item/Free-Shipping-CH341A-24-25-Series-EEPROM-Flash-BIOS-DVD-USB-Programmer-W-Software-Driver-C1B5/1795354296.html
Но я еще раз напоминаю, что вариант с программатором подходит только для S7-200, не для S7-200 Smart!
Удалить---------------------------------------------
But I once again remind that the option with a programmator is suitable only for S7-200, not for S7-200 Smart!
How about using ethernet sniffer ? have you ever try that ?
ОтветитьУдалитьЯ не пробовал этот способ. Я могу посоветовать только один вариант: если разработчик программы (который знает пароль) будет вносить изменения через подконтрольный вам компьютер (например, через удаленный доступ), то можно предварительно установить на такой компьютер keylogger.
Удалить---------------------------------------------
I didn't try this way. I can advise only one option: if the developer of the program (who the password knows) makes changes via the computer under control to you (for example, through remote access), it is possible to establish keylogger previously on this computer.
не работает
ОтветитьУдалитьПроверено на Step7 Microwin версии 4.0.8.06 (SP8) и 4.0.9.25 (SP9), всё отлично работает.
УдалитьПодтверждаю для s7-200 smart скачивание дампа из eeprom бесполезное занятие, решение пока что не найдено
ОтветитьУдалитьКак запустить симулятор у меня тормазит не отвечает программа
ОтветитьУдалитьЭтот комментарий был удален автором.
УдалитьThank you for great the tools. Do you have datamanagers.dll for S7-200 SMART V2.3.
ОтветитьУдалитьRgds.
No, I have not made crack for v2.3 still. There is not free time for it. ((
УдалитьHello, I have tried to replace cracked dll for microwin SP8 and after that I have error message like this:
ОтветитьУдалить"The procedure entry point ?IsPLCPasswordProtected@MWPrjObjMgr@@QBEJAAH@Z could not be located in the dynamic link library objectmanagers200.dll"
Is error occurred when the program was started (simply .exe without opening associated file .mwp) or after the project .mwp file was opened?
УдалитьYes, an error appears when the program is starting.
УдалитьI shall try to check it. Checking will require an Windows XP for Microwin SP8, it is not easy to find PC with this OS today...
УдалитьZdrastvuyte, etot sposob rabotaet tolko na windows xp?
ОтветитьУдалитьНет. На Windows XP работает Step-7 Microwin SP8, потому что SP8 - это обновление только для XP. Обновлением для Win7 и выше является SP9. Dll-ка одна и та же для обеих версий
УдалитьПознакомился вчера с серией "смарт", - голова квадратная уже. Не смог победить вопрос: как добавить мой USB/PPI кабель в выбор интерфейса? В степ7 микровин смарт вообще можно добавить интерфейс как в обычном микровине? Порождение сатаны пишет мне, что мастер-кабель нот аттачед, несмотря на все мои пляски с бубнами. Закрадывается мысль попробовать законнектиться через тупо патч-корд, вдруг пролезет.
ОтветитьУдалитьS7-200 Smart программируются только через обычный Ethernet. Интерфейс PPI там только для подключение панелей оператора. Step-7 Micro/win Smart присутствует как точка доступа в настройках PG/PC Interface и называется MWSMART, только USB/PPI там выбирать бесплолезно, выбирать надо просто сетевую карту
УдалитьВзлом S7-200 CN, включая уровень 4
ОтветитьУдалитьhttps://www.youtube.com/watch?v=tpVHFoZlel8&t=346s
да, я тоже всё хотел написать про взлом паяльником, но чо-то забыл совсем. Программатор, если кому надо, по ссылке:
Удалитьhttps://www.aliexpress.com/item/4000430893276.html
Нашли способ взломать смарт серии?
ОтветитьУдалитьНе. Если бы нашёл, то сразу бы написал об этом.
УдалитьПривет! Как с тобой связаться?
Удалитьns253647@gmail.com
УдалитьI have find a way to get BIN file from S7-200 Smart Series ST40, and it use IS25LQ010 IC, please respond if you're interested. Thanks.
ОтветитьУдалитьAre you suggesting that the password is stored on this chip?
УдалитьЗдравствуйте. Не пробовали с EEPROM рапароленного контроллера s7-200 smart считать дамп, сбросить контроллер на заводские настройки и снова залить дамп? Не получится таким образом сбросить пароль?
УдалитьАвтор красава! Очень помогло мне!
ОтветитьУдалитьЗдравствуйте. Подскажите, пожалуйста, есть ли способ скопировать проект из S7 200 Smart с паролем на UPLOAD на текущий момент?
ОтветитьУдалитьмне способ пока неизвестен
Удалить